De verbijzonderde interne controle bij decentrale overheden

De verbijzonderde interne controle bij decentrale

overheden

14 februari 2019 Datum

Notitie

Inhoudsopgave

1 Inleiding ... 3

2 Aandachtspunten ... 4

3 Drie verdedigingslinies ... 7

4 Gebruik maken van de VIC door de externe accountant ... 14

5 Keuzes voor de inrichting van de VIC ... 20

Bijlage: Praktische invulling ... 27

1 Inleiding

Introductie van de commissie BADO

De commissie Bedrijfsvoering, Auditing Decentrale Overheden (BADO) bestaat uit deskundigen die onder meer werkzaam zijn bij gemeenten, provincies, de VNG, de beroepsorganisatie van accountants (NBA), accountantskantoren/diensten en het Rijk. De commissie BADO stelt het oplossen van

problemen voorop. Problemen die raken aan de bedrijfsvoering en de accountantscontrole van decentrale overheden.

De doelstellingen en taken van de commissie BADO richten zich op de verheldering van vraagstukken die spelen op het raakvlak van auditing en bedrijfsvoering van gemeenten en provincies, zoals:

• het steunen van de controlerend accountant van een deelnemende gemeente op de werkzaamheden van de accountant van een samenwerkingsverband;

• de verantwoording over het persoonsgebonden budget (PGB);

• etc.

De commissie BADO brengt richtinggevende notities uit met een nadruk op de hoe-vraag en de interpretatie van bestaande wet- en regelgeving, voor wat betreft knelpunten en gezamenlijke oplossingen die raken aan de bedrijfsvoering en de accountantscontrole van decentrale overheden. De BADO-notities kunnen door de deelnemende organisaties waar nodig worden vertaald in aanvullende eigen (formele) instrumenten, zoals voor de NBA bijvoorbeeld in een NBA-Alert of handreiking of voor de VNG in een ledenbrief. Dat laatste is een optie en zal naar verwachting slechts in uitzonderlijke gevallen geschieden.

De notities worden gepubliceerd op de site van de commissie BADO. Maar ook de NBA publiceert de notities, net als de VNG¹.

Voor u ligt een notitie over de verbijzonderde interne controle (VIC), bedoeld als een nadere toelichting op de huidige mogelijke situatie voor belanghebbenden van een decentrale overheid, mede naar aanleiding van eerdere ontwikkeling in de accountancyregelgeving. De commissie BADO wil een handreiking bieden aan met name decentrale overheden, waarbij inzicht geboden wordt in hoe de verbijzonderde interne controle kan worden ingericht en welke gevolgen dit heeft voor de mogelijkheden voor de controlerend accountant om hiervan gebruik te maken.

1Voor eventuele vragen kunt u zich als gemeenten wenden tot info@vng.nl, als provincie tot communicatie@ipo.nl of tot

2 Aandachtspunten

Uit deze notitie komen de volgende aandachtspunten voort:

• de VIC is een nuttig en onmisbaar instrument voor het in control zijn van de eigen organisatie en geen ‘moetje’ voor de accountant. Draag deze boodschap als decentrale overheid ook uit binnen de eigen organisatie;

• maak als decentrale overheid een heldere afweging tussen enerzijds de gewenste mate van objectiviteit waarmee de functionarissen die uitvoering geven aan de VIC kunnen oordelen en anderzijds de brede inzetbaarheid van deze medewerkers binnen de eigen organisatie. Een keuze voor een brede inzet kan gevolgen hebben voor de mate waarin de externe accountant gebruik kan maken van de VIC in het kader van de jaarrekeningcontrole, maar die brede inzet heeft ook evidente voordelen voor een decentrale overheid;

• indien er gekozen wordt voor een Interne Audit Functie (IAF) in de derde lijn, moet er aandacht geschonken worden aan het gevoelde eigenaarschap voor het doorvoeren van voorgestelde verbetermaatregelen door de rest van de organisatie. Anders wordt het gezien als een

‘speeltje’ van een selecte groep van medewerkers, die geen onderdeel uitmaken van de lijnorganisatie;

• de medewerkers die belast zijn met de uitvoering van de VIC, kunnen tevens de makelaarsfunctie vervullen tussen de eigen organisatie en de externe accountant;

• communiceer als decentrale overheid vroegtijdig met de controlerend accountant over de activiteiten die gedurende het controlejaar uitgevoerd gaan worden, in het kader van de VIC.

Welke processen worden onder loep genomen en wanneer zijn de resultaten bekend?

• geef als controlerend accountant eveneens vroegtijdig aan, op welke wijze gebruik gemaakt kan worden van de uitkomsten van de VIC, in het kader van de jaarrekeningcontrole. Wees hierbij alert op het ontstaan van (reële) verwachtingen, over de mate waarin ‘gesteund’ kan worden op deze bevindingen uit de VIC en het effect op de (eigen) werkzaamheden van de controlerend accountant;

• bij de aanbesteding en gunning van een opdracht voor de controle van de jaarrekening, dient reeds aandacht geschonken te worden aan de mate waarin de accountant gebruik kan maken van de VIC. Dit zal misverstanden en ergernis voorkomen².

• schets als decentrale overheid het gewenste ontwikkelperspectief van de VIC. Zijn er wellicht nog stappen die gezet moeten worden, om richting een IAF te kunnen ontwikkelen of straks een rechtmatigheidsverantwoording te kunnen afleggen? Of ligt de lat hoger en is het streven gericht op het opnemen van een (bredere) in control statement?

2Zie voor de aanbesteding: VNG brochure over aanbesteding van de accountantscontrole

Leeswijzer

Begonnen wordt met een korte terugblik op de ontstaansgeschiedenis van de verbijzonderde interne controlefunctie (VIC). Voorts wordt in deze notitie een definitie gegeven van hetgeen onder de VIC verstaan moet worden. Daarna zal de VIC worden behandeld aan de hand van de theorie en praktijk van de drie verdedigingslinies. Door de gehele tekst zullen ook praktijkvoorbeelden worden aangereikt, van gemeenten en provincies. Daarna komt de manier aan bod, waarop de accountant gebruik kan maken van de VIC bij de controle van de jaarrekening. Tevens komt de doorontwikkeling van de VIC aan de orde, mede in het licht van de toekomstige invoering van de rechtmatigheidsverantwoording en wellicht de ambitie van een decentrale overheid om te komen tot een in control statement. Begonnen wordt met de korte terugblik.

Terugblik

De aandacht voor de verbijzonderde interne controlefunctie (VIC) bij decentrale overheden nam toe, op het moment dat de accountant in 2004 expliciet in de controleverklaring aandacht ging schenken aan de rechtmatigheid. Zoals voor kan komen bij een schoksgewijze verandering, had dit ook invloed op de strekking van de controleverklaring. Nog maar 10% van de gemeenten kreeg voor het verslagjaar 2004 een goedkeurende verklaring³. Een belangrijke oorzaak hiervoor was dat het normenkader voor de beoordeling van de rechtmatigheid, nog ontbrak. Een van de reacties van de decentrale overheden was een toegenomen focus op rechtmatigheid en meer aandacht voor de interne controle. Dit nam de vorm aan van een verbijzondering van de interne controle, in die zin dat extra gelet werd op de

rechtmatigheid, bovenop en ook voortbouwend op de interne controles die reeds uitgevoerd werden in de lijn. De voordelen van deze aanpak waren evident en het aandeel goedkeurende verklaringen nam in rap tempo weer toe. Het nadeel was echter het ontstaan van het beeld dat dit alles geschiedde ‘vóór de accountant’. Gelukkig is dit beeld in de loop der jaren gekanteld en staat inmiddels voorop, dat de VIC vooral een nuttige functie voor de decentrale overheid zelf moet vervullen. De verbijzonderde interne controle is daarmee een belangrijk en niet meer weg te denken instrument voor de beheersing van de primaire processen, door de decentrale overheid.

VIC: een definitie

Artikel 212 lid 1 Gemeentewet verplicht gemeenten (i.c. de Raad) een financiële verordening op te stellen, waarin de uitgangspunten voor het financiële beleid, het financiële beheer en de inrichting van de financiële organisatie zijn opgenomen. Artikel 216 van de Provinciewet regelt hetzelfde voor de provincies.

In de gemeentelijke en provinciale financiële verordeningen wordt hierbij een belangrijke rol gegeven aan de Colleges van B&W en GS. Het College moet jaarlijks zorgen voor een interne toetsing van de getrouwheid van de informatieverstrekking en de rechtmatigheid van de (financiële)

beheershandelingen. Een beheerste bedrijfsvoering staat hierbij voorop en de VIC is daarvoor een instrument. Zo kan de VIC een belangrijke bijdrage leveren aan het planning- en control-

instrumentarium, de data-analyse en aan een betrouwbare informatievoorziening. Uitgangspunt hierbij

is een goed werkende bestuurlijke inrichting, risicomanagement, naleving van afspraken (plan, do, check en act) en toezicht op de invoering van verbetermaatregelen.

In verordeningen van gemeenten en provincies wordt op een uiteenlopende wijze invulling gegeven aan het begrip verbijzonderde interne controle. In deze notitie wordt de volgende omschrijving gehanteerd:

De verbijzonderde interne controle van een decentrale overheid, is gericht op het verkrijgen van inzicht vanuit de eigen organisatie in tenminste de getrouwe en rechtmatige totstandkoming van de baten, lasten en balansmutaties, zoals deze in de jaarrekening tot uitdrukking komen. Hierbij wordt onder meer aandacht geschonken aan de opzet, het bestaan en de werking van relevante

beheersmaatregelen, alsmede de risico’s die aanwezig zijn voor wat betreft de eerdergenoemde genoemde aspecten van getrouwheid en rechtmatigheid. De verbijzonderde interne controle is een aanvulling op de reguliere interne controle, in die zin dat:

o een objectief oordeel gegeven wordt over de opzet, het bestaan en de werking van de interne controles en beheersmaatregelen, die in de lijn uitgevoerd worden;

o de focus ligt op de processen met de grootste (financiële en maatschappelijke) risico’s.

Bij de inrichting van de VIC kunnen uiteenlopende keuzes gemaakt worden door decentrale overheden.

Zoals wie er belast is met deze werkzaamheden en de mate van objectiviteit waarover deze

functionarissen beschikken, binnen de eigen organisatie. Uit de definitie zoals deze gehanteerd wordt in de onderhavige notitie, volgt overigens wel dat de VIC primair een financiële insteek kent en niet in de eerste plaats een vorm van operational audit behelst.

Deze definitie is overigens uitsluitend gekozen voor de afbakening van het onderwerp in deze notitie en het staat decentrale overheden vanzelfsprekend vrij, om een andere omschrijving te hanteren die mede niet-financiële objecten en onderwerpen omvat.

Verschillende functionarissen met uiteenlopende verantwoordelijkheden bij gemeenten en provincies, hebben te maken met de VIC. Wethouders c.q. gedeputeerden, directeuren, afdelingshoofden, controllers en interne auditors. Allemaal vanuit een andere rol. Om deze rollen en

verantwoordelijkheden van elkaar te onderscheiden, is een model met drie verdedigingslinies ontwikkeld⁴.

4 https://www.iia.org.uk/resources/audit-committees/governance-of-risk-three-lines-of-defence/

3 Drie verdedigingslinies

De leiding (bestuur, directie en management) van een decentrale overheid is verantwoordelijk voor het realiseren van de strategie en de doelstellingen en een goede sturing en beheersing op hoofdlijnen. Het lijnmanagement is hierbij primair verantwoordelijk voor het aansturen en beheersen van de uitvoering van activiteiten in samenhang met de strategie en doelstellingen, het beheersen van risico’s, het zorgdragen voor een adequate bedrijfsvoering en het verstrekken van betrouwbare

verantwoordingsinformatie.

Om voldoende zekerheid te hebben over de betrouwbaarheid van de informatievoorziening heeft een organisatie adequate (interne) controlemaatregelen nodig. Daarbij kunnen meerdere verdedigingslinies worden ingericht:

• 1e lijn: de interne controlemaatregelen die belegd zijn in de lijnorganisatie;

• 2e lijn: die de 1e lijn ondersteunt, adviseert, coördineert en de interne toetst of de interne controlemaatregelen op uitvoeringsniveau aanwezig zijn en adequaat worden uitgevoerd. Deze interne toetsingswerkzaamheden worden meestal uitgevoerd door interne

controlefunctionarissen, die (in meer of mindere mate) een objectief oordeel kunnen vellen over de afdeling en/of processen die zij toetsen. Ook bepaalde beleidsvoorbereidende taken en het organiseren van integrale risk assessments kunnen taken van de tweede lijn zijn. Als onderdeel van de definitie van de VIC gold onder meer dat: ‘een objectief oordeel gegeven wordt over de opzet, het bestaan en de werking van de interne controles en

beheersmaatregelen, die in de lijn uitgevoerd worden’. Daarmee wordt tot uitdrukking gebracht dat de taken die behoren bij de VIC niet uitgevoerd worden in de eerste lijn, maar in de regel in de tweede lijn. Historisch gezien was de VIC immers bedoeld om een waarborg te creëren voor de borging van de rechtmatigheid, door een extra check uit te voeren op de werkzaamheden en processen van de eerste lijn door een stafafdeling.

• 3e lijn: Ten slotte is er nog een derde verdedigingslinie. De derde lijn onderscheidt zich van de tweede lijn, op onder andere de volgende onderdelen. Namelijk de:

o (grotere) mate van objectiviteit⁵ waarmee een auditor kan oordelen;

o competenties⁶ die gelden voor de auditor;

5Objectiviteit verwijst volgens standaard 610 naar het vermogen om die taken uit te voeren, zonder toe te staan dat vooringenomenheid, belangenconflict of ongepaste invloed van anderen professionele oordeelsvorming doorbreken.

6Competentie van de interne auditfunctie verwijst volgens standaard 610 naar het verkrijgen en onderhouden van kennis en vaardigheden van de interne auditfunctie als geheel op het vereiste niveau, om de toegewezen taken zorgvuldig en

overeenkomstig de van toepassing zijnde professionele standaarden uit te voeren.

o directe toegang die de auditor heeft tot de ambtelijke en bestuurlijke gremia binnen decentrale overheid, om te kunnen rapporteren over de bevindingen.

De onderverdeling in drie verdedigingslinies en de positionering van de VIC lijkt op papier helder, maar de praktijk is veelvormig. Decentrale overheden beschikken over een ruime keuzevrijheid, bij de inrichting van de drie verdedigingslinies en de positionering van de VIC. In de tekst zijn

praktijkvoorbeelden opgenomen, waaruit deze diversiteit blijkt.

Naast de genoemde verdedigingslinies in de organisatie wordt de externe accountantscontrole ook wel de (4e) verdedigingslinie genoemd. Een externe toezichthouder vormt dan de 5e lijn. In het belang van de eenvoud wordt in de tekst hieronder uitgegaan van drie verdedigingslinies.

In het onderstaande schema zijn de drie verdedigingslinies uiteengezet, voor een gemeente⁷.

Eerstelijnscontrole, het operationele management

Binnen de gemeente is de Raad het hoogste orgaan. De Raad heeft kaderstellende en controlerende instrumenten. Dit zijn:

7Waar Raad staat kan voor een provincie, Provinciale Staten worden gelezen. En voor het College van B&W, het College van GS.

Ten slotte voor gemeentesecretaris kan gelezen worden provinciesecretaris.

Voor de kaderstelling betreft het de volgende instrumenten en bevoegdheden:

o Budgetrecht: vaststellen begroting (art. 189 Gemeentewet) o Verordenende bevoegdheid (art. 127 Grondwet)

o Initiatiefvoorstellen (art. 147a lid 2 en 3 Gemeentewet) o Amendementen (art. 147b Gemeentewet)

o Moties

Voor de controle betreft het de volgende instrumenten en bevoegdheden:

o Mondelinge vragen (art. 155 lid 1 Gemeentewet) o Schriftelijke vragen (art. 155 lid 1 Gemeentewet) o Interpellaties (art. 155 lid 2 Gemeentewet)

o Raadsonderzoeken of -enquêtes (art. 155a lid 1 Gemeentewet)

o Budgetrecht: vaststellen jaarrekening en financiële controle in bredere zin (art. 189 en art. 213 Gemeentewet)

o Gebruik maken van de werkzaamheden van de onafhankelijke Rekenkamer/

rekenkamerfunctie (art. 182 Gemeentewet)

o Instelling van en controle op verbonden partijen (incl. de voorhangprocedure oprichting en deelneming privaatrechtelijke taakbehartiging ex. artikel 160, lid 2 Gemeentewet)

o Verplicht doelmatigheids- en doeltreffendheidsonderzoek (art. 213a Gemeentewet).

Het College voert de onderzoeken uit, maar de Raad kan gebruik maken van de bevindingen.

o Passieve en actieve informatieplicht van college en burgemeester (art. 169 en 180 Gemeentewet)

Het College van B&W kan gezien worden als het dagelijks bestuur van de gemeente. Bij het besturen van de gemeente wordt het College van B&W ondersteunt door het ambtelijk apparaat, met aan het hoofd de gemeentesecretaris. Bestuur en management zullen voortdurend aandacht moeten hebben voor de risico’s. Dit betekent het continu signaleren, beoordelen, beheersen, voorkomen en beperken van risico’s. De belangrijkste beslissingen met de grootste impact zullen op het niveau van bestuur en management genomen worden. Indien bijvoorbeeld in een gemeente gedacht wordt over nieuwbouw van het gemeentehuis, zullen het College van B&W en het management van de gemeente de

belangrijkste voorbereidingen treffen. De definitieve beslissing zal in nauw overleg met de Raad gemaakt worden. De Raad moet immers op grond van het budgetrecht vooraf de financiële middelen voteren voor de nieuwbouw en zal ook tijdens de bouw controleren of de uitvoering conform de genomen besluiten verloopt.

Hierbij worden cruciale besluiten genomen, die van grote invloed zijn op het verdere verloop. Onder meer voor wat betreft de kans op budgettaire overschrijdingen, maar ook voor bijvoorbeeld de

rechtmatigheid van de te volgen aanbestedingsprocedure. De beslissingen die in de eerste lijn genomen worden, hebben de grootste impact op de uitkomsten van een dergelijk complex proces, zoals de nieuwbouw van een gemeentehuis. Om te borgen dat de uitvoering van processen adequaat verloopt (rechtmatig en getrouw) worden interne beheersmaatregelen uitgevoerd door de functionarissen, die betrokken zijn bij de uitvoering van de dagelijkse activiteiten in de organisatie en het lijnmanagement.

Deze beheersmaatregelen uitgevoerd door bestuur, management en uitvoerende functionarissen vormen de eerstelijnscontroles.

Tweedelijnscontrole: de ondersteunende functies

In de tweede lijn worden de systemen ontworpen en geïmplementeerd, voor onder meer de

informatievoorziening en de beheersing van de bedrijfsprocessen. De tweede lijn ondersteunt de eerste lijn onder andere bij het identificeren, bewaken en beheersen van risico’s. De tweede lijn ontwikkelt en beheert systemen voor procesbeheersing, planning & control, informatieverwerking, communicatie en rapportage. De interne toetsingswerkzaamheden worden meestal uitgevoerd door interne

controlefunctionarissen, die in meer of mindere mate objectief oordelen over de processen die zij toetsen.

Een deel van de toetsing van de werking van die systemen en de controle daarop, kan ook in de tweede lijn worden belegd. Dit alles ter ondersteuning van de eerste lijn bij het bijsturen van de procesvoering, het uitvoeren van evaluaties en het afleggen van verantwoording. De stafafdelingen die deze

werkzaamheden uitvoeren, staan onder tal van namen bekend. Voorbeelden zijn: een afdeling

Risicomanagement, Compliance, Kwaliteit, Interne Controle, Concerncontrol, (Business) controlling etc.

De combinatie van Concerncontrol & Audit komt ook vaak voor. Belangrijker dan de diversiteit aan namen voor de afdelingen, zijn echter de ontwerpende, maar ook toetsende en controlerende functies die vervuld worden door de tweedelijnsfunctionarissen. Deze stafafdelingen zullen bijvoorbeeld bij de nieuwbouw van een gemeentehuis adviseren over de eisen die voortvloeien uit de Europese

aanbestedingsregels en de mogelijkheden om de budgettaire kaders te bewaken, maar ook de budgetbewaking feitelijk verzorgen.

Derdelijnscontrole: IAF (Interne Audit Functie)

De derde lijn is niet verantwoordelijk voor het nemen van de beslissingen (eerste lijn) en evenmin voor het ontwerpen en implementeren van de systemen voor de beheersing van bedrijfsprocessen (tweede lijn). De IAF toetst de opzet en het bestaan en de werking van de systemen. Hierdoor wordt de eerste en de tweede lijn een spiegel voorgehouden. Het betreft een oordeel over de effectiviteit van de besturing, het risicomanagement en de interne beheersing. Dit omvat mede de betrouwbaarheid en

rechtmatigheid van de interne informatievoorziening. Deze toetsing zal in de regel via interne audits worden uitgevoerd. Daarbij maakt de IAF gebruik van de (beheers-)activiteiten en interne controles die in de eerste en tweede lijn zijn uitgevoerd. Bij de bouw van een nieuw gemeentehuis kan de derdelijns controle bijvoorbeeld de beheersmaatregelen onder de loep nemen, die erop gericht zijn om de bouw op tijd en binnen budget te realiseren. Worden deze maatregelen in de praktijk ook daadwerkelijk nageleefd, waar blijkt dit uit en zijn de getroffen maatregelen ook effectief?

De IAF velt binnen de eigen organisatie objectieve oordelen, over de aanwezige eerste- en tweedelijnscontrole. Deze objectiviteit kan deels tot uitdrukking komen in omstandigheid dat een auditor belast wordt met de uitvoering van (uitsluitend deze) werkzaamheden en deels in de interne regelgeving van de decentrale overheid. In de interne regelgeving kan bijvoorbeeld een waarborg worden opgenomen voor wat betreft de directe toegang van de auditor, tot de bestuurders en het (top)management.

In het volgende tekstblok is een voorbeeld van de positionering van de IAF in Leiden. Overigens wordt op andere plekken in deze notitie nogmaals verwezen naar het voorbeeld van de gemeente Leiden, maar dan gaat het vooral om de samenwerking met de externe accountant.

Voorbeeld: Positionering IAF in Leiden

De gemeente Leiden heeft een aantal jaren geleden gekozen voor het inrichten van een Interne Audit Functie (IAF), een derdelijns functie. Deze is als volgt gepositioneerd: het college heeft één ambtenaar specifiek als intern accountant benoemd (waarbij anderen ook feitelijk actief zijn in dit kader). De bevoegdheden van de interne accountant zijn vastgelegd in het door het college vastgestelde Organisatiebesluit (Gemeentewet artikel 103 lid 2). In artikel 1 Begripsomschrijving is het volgende opgenomen:

“h. Interne accountant: ambtenaar, tevens Registeraccountant, door het college benoemd, belast met het borgen van de objectiviteit, deskundigheid en kwaliteit van de interne auditfunctie van de gemeente, gericht op het ‘Leiden in control’-traject en onafhankelijke advisering van het college hierover. Zijn verantwoordelijkheden en bevoegdheden zijn geregeld in dit besluit, in het Internal Audit Charter en in het jaarlijks te actualiseren Algemeen Controleplan.”

De interne accountant is werkzaam in de Concernstaf van de gemeente Leiden in een van de teams die daaronder vallen. In de praktijk heeft de interne accountant dus een teamleider, een manager Concernstaf en de gemeentesecretaris/algemeen directeur boven zich. Echter, in het Organisatiebesluit is het volgende bepaald:

“Artikel 12 Interne accountant

1) De Interne accountant is belast met de uitvoering van de interne auditfunctie en wordt binnen het team Strategie Middelen en Control gepositioneerd. De interne accountant zorgt voor de toetsing die voorafgaat aan de door het college af te geven ‘in controlverklaring’ die wordt afgegeven op grond van de Financiële verordening (ex artikel 212 Gemeentewet) en rapporteert zijn bevindingen jaarlijks tussentijds via een managementletter en na afronding van het begrotingsjaar via een verslag van bevindingen aan het college en de Raad.

2) Voor zaken die te maken hebben met de financiële rechtmatigheid en getrouwheid van financiële transacties en met de integriteit van het bestuur en de organisatie, heeft de interne accountant, met vooraf een meldingsplicht aan de

gemeentesecretaris/algemeen directeur, de mogelijkheid zich rechtstreeks tot het college te wenden en te verlangen dat door de interne accountant verstrekte informatie ter kennis wordt gebracht van de Raad.”

Om de rol en verantwoordelijkheden van de gehele Interne Audit Functie (IAF) goed te regelen, is in Leiden door het college ook een Internal Audit Charter vastgesteld. Het Internal Audit Charter heeft tot doel om:

• duidelijkheid te verschaffen over de wijze waarop de onafhankelijkheid en objectiviteit van de interne auditfunctie is geborgd en hoe de relaties met de diverse bestuurslagen van de gemeente, de concerncontroller en de externe accountant liggen.

• duidelijkheid te verschaffen over de totstandkoming van auditplannen en uit te voeren audits (zowel planmatig als ad hoc).

• een algemeen kader te bieden voor het handelen van de interne auditors en hun opdrachtgevers: de uitwerking vindt plaats via het jaarlijkse Algemeen Controleplan.

• een waarborg bieden voor de kwaliteit van de audits en voor een goed verloop van het auditproces binnen de gemeentelijke organisatie: hiervoor geldt dat de uitwerking plaats vindt volgens het jaarlijkse Algemeen Controleplan.

In Rotterdam worden twee auditfuncties onderscheiden. Dit is toegelicht in het onderstaande tekstblok.

Voorbeeld: Twee interne auditfuncties in Rotterdam

De gemeente Rotterdam kent twee interne auditfuncties die, met elkaar en ieder vanuit een onafhankelijke positie, een breed palet van de interne beheersing en governance binnen de gemeente Rotterdam toetsen. Dat gebeurt vanuit verschillende invalshoeken.

• Financial Audit (FA) heeft binnen gemeente Rotterdam als hoofdtaak om controlewerkzaamheden te verrichten op de aspecten getrouwheid en rechtmatigheid, zoals vastgesteld in de Controleverordening Rotterdam 2017.

• Concern Auditing (CA) is de afdeling die binnen Rotterdam onder meer onderzoek doet naar de doelmatigheid en de doeltreffendheid van het door en namens B&W gevoerde bestuur (Gemeentewet artikel 213a), zoals vastgesteld in de Verordening onderzoek doelmatigheid en doeltreffendheid 213a GW Rotterdam 2015.

Daarmee zijn FA en CA natuurlijke partners in de onderlinge afstemming, uitwisseling, samenwerking en coördinatie. CA valt rechtstreeks onder de gemeentesecretaris die als algemeen directeur leidinggeeft aan het concern en de ConcernDirectie (CD). FA vormt een onderdeel van de afdeling Middelen & Control, die onder leiding staat van de concerncontroller, die lid is van de CD van de gemeente Rotterdam. De concerncontroller valt rechtstreeks onder de gemeentesecretaris. De praktijk van de afgelopen jaren heeft laten zien dat deze ophanging in de organisatie FA en haar leidinggevende geen belemmeringen in enige zin oplevert.

Aanvullend op de hiërarchische lijnen is namelijk in de Controleverordening Rotterdam 2017 voorzien in een onafhankelijke positie voor het hoofd FA, die hem of haar de opening biedt bij verschillen van inzicht op te schalen naar hogere niveaus dan de direct hiërarchische. Omdat de controleverordening slechts een deel (hoewel een groot deel) van het werkterrein omvat, wordt door middel van een door het college van Burgemeester en Wethouders (B&W) vastgesteld Auditcharter Financial Audit de gelijkblijvende opschalingsregels uitgebreid tot het gehele domein van FA.

Jaarlijks stelt FA voorafgaand aan de jaarrekeningcontrole en de aanvang van de adviesopdrachten een startnotitie op (samen met de ambtelijke organisatie en de externe accountant), ten behoeve van de jaarrekeningcontrole en een Controleplan (voor het gehele domein van FA). De startnotitie wordt opgesteld conform de geldende Controleverordening van de gemeente. Het controleplan omvat tevens de adviesopdrachten en geeft de acties weer die het hoofd FA in dat jaar gaat inzetten ter verdere versterking van zijn of haar organisatie.

Het doel van de gezamenlijke startnotitie is het voorkomen van een mogelijke communicatiekloof tussen de organisatie en de externe accountant. In de startnotitie worden naast heldere werkafspraken en een planning tevens begrippen en toetsingskaders vastgesteld voor alle controledossiers. Met de startnotitie wordt een duidelijke startpositie van de jaarrekening gecreëerd door het instellen van een formeel startmoment. De startnotitie wordt ondertekend door alle leden van de ConcernDirectie (bestaande uit gemeentesecretaris en algemeen directeuren van de clusters), wethouder Financiën en de externe accountant. Deze ondertekende startnotitie wordt vervolgens door B&W aangeboden aan de (Raads)Commissie tot Onderzoek van de Rekening (COR).

Gedurende het jaarproces verschijnen voortgangsrapportages, waarin ook de voortgang van de werkzaamheden door FA wordt gemeld, in frequentie afgestemd met de CD en de COR. Zowel FA als ook CA hebben in 2018 het certificeringstraject van het IIA succesvol doorlopen.

Vanzelfsprekend maken niet alleen gemeenten gebruik van de VIC. In het onderstaande kader is het voorbeeld opgenomen van de provincie Zuid-Holland.

Voorbeeld: Provincie Zuid-Holland

Verordening

“In lid 1 van de ‘Financiële verordening Provincie Zuid-Holland 2017’ is opgenomen dat Gedeputeerde Staten jaarlijks zorg dragen voor de interne controle (IC) op de getrouwheid van de informatieverstrekking en de (financiële) rechtmatigheid van de beheershandelingen. Ten behoeve hiervan stellen Gedeputeerde Staten jaarlijks een Concern Interne Controleplan (CIC-plan) op dat ter kennisneming wordt voorgelegd aan Provinciale Staten. Het CIC-plan is een kaderstellende nota die de belangrijkste verbijzonderde IC-werkzaamheden voor het desbetreffende jaar weergeeft, inclusief een bijlage met de planning van deze werkzaamheden.”

Doel

De VIC stelt het management van de provincie in staat om op basis van die bevindingen en van de aanbevelingen daarover, de belangrijkste relevante risico’s te beperken en de beheersing van de bedrijfsprocessen te verbeteren.

Uitvoering

De verbijzonderde interne controles worden uitgevoerd door het cluster Administratieve Organisatie en Interne Controle (AO/IC).

Voor de uitvoering van de verbijzonderde interne controles is het cluster ingedeeld op basis van de primaire en ondersteunende processen binnen de provincie. Iedere AO/IC-medewerker is gekoppeld aan een aantal van deze processen. Per proces is een procesteam dat onder leiding staat van een procesteamleider. De teams verrichten de volgende IC-activiteiten:

• het plannen en voorbereiden van de uit te voeren controlewerkzaamheden, uitvoeren van de controles, opstellen rapportages met bevindingen en aanbevelingen naar aanleiding van de uitgevoerde interne controles in overeenstemming met het Concern Interne Controleplan, bewaken van de opvolging van de aanbevelingen;

• kaders en werkprogramma’s opstellen en evalueren ten behoeve van de interne controles;

• controlewerkzaamheden uitvoeren op de samengestelde dossiers voor de jaarrekening voordat deze aan de accountant worden aangeleverd;

• uitvoeren van ad hoc onderzoeken op verzoek van het management en/of het bestuur.

De onafhankelijkheid en de objectiviteit is geborgd door enerzijds de (interne) routing van de IC-rapportages (via het hoofd van de afdeling Financiële en Juridische Zaken en Concerndirecteur naar het Directieteam) en anderzijds door de mogelijkheid tot escalatie naar de provinciesecretaris en de gedeputeerde Middelen. De verbijzonderde interne controles worden gedurende het hele jaar uitgevoerd, waarbij frequentie en intensiteit bepaald worden door onder andere risicoanalyses en bevindingen uit voorgaande jaren.

Positionering

Het cluster AO/IC maakt deel uit van het bureau Kaderstelling en Controle van de afdeling Financiële en Juridische Zaken (FJZ) van de provincie Zuid-Holland. Deze afdeling valt, samen met andere (ondersteunende) afdelingen, onder de verantwoordelijkheid van de Concerndirecteur. De afdeling FJZ levert “professionele ondersteuning aan het bestuur, management en medewerkers op het gebied van financieel en juridisch beleid”. De provincie Zuid-Holland is van mening dat onder deze ondersteuning ook het ‘toetsen van’ en het ‘meedenken over’ financieel rechtmatig handelen’ valt. Om deze ondersteuning te kunnen bieden zijn de

medewerkers van FJZ nauw verbonden met de binnen de PZH aanwezige processen. Dit geldt ook voor AO/IC. AO/IC voert, zonder de objectiviteit uit het oog te verliezen, de verbijzonderde interne controles zo dicht mogelijk op de processen uit.

4 Gebruik maken van de VIC door de externe accountant

Introductie

In het tweede deel van deze notitie gaan we in op de volgende vraag: Op welke manier kan de accountant gebruik maken van de VIC, bij zijn controle? Het betreft hier de volgende vier mogelijkheden, namelijk als:

i. instrument om de aanlevering van stukken aan de accountant te verbeteren;

ii. onderdeel van het interne beheersingskader om toezicht te houden op de uitvoering van interne beheersingsmaatregelen⁸;

iii. interne beheersingsmaatregel⁹, waarop hij kan steunen bij zijn organisatiegerichte werkzaamheden;

iv. interne auditfunctie (IAF, zoals bedoeld in Standaard 610)¹⁰.

De vier mogelijkheden zullen hieronder toegelicht worden. Met het schetsen van deze mogelijkheden worden op hoofdlijnen de opties weergegeven, waarbij in de praktijk ook ‘grijstinten’ en

discussiepunten kunnen ontstaan, die op basis van een goede communicatie tussen de controlerend accountant en de decentrale overheid opgehelderd kunnen worden.

i. Aanlevering stukken

Allereerst kan de VIC behulpzaam zijn bij het verzamelen van allerhande gegevens en onderliggende stukken, die nodig zijn voor de controle door de accountant. Door bijvoorbeeld tijdig een kwaliteitstoets uit te voeren op de volledigheid van de stukken, kan een positieve invloed worden uitgeoefend op de doorlooptijd van de controle. Voorts kan een goede aanlevering van stukken, een bijdrage leveren aan de efficiency van de accountantscontrole.

ii. Intern beheersingskader

In deze situatie gebruikt de accountant de VIC als een van de belangrijke informatiebronnen om kennis te verkrijgen van de gemeente en zo richting te geven aan zijn controle. Op deze wijze worden risico’s geïdentificeerd en ingeschat, om een basis voor het opzetten en uitvoeren van verdere

controlewerkzaamheden te verkrijgen. De accountant zal in deze situatie kennisnemen van de geaccordeerde jaarplannen van de VIC en de werkzaamheden en de bevindingen van de VIC.

8 Zie Standaard 610 paragraaf 16, 7 en 8 en Standaard 315.

9 Zie Standaard 610 paragraaf 16 en 9 en Standaard 330.

10 Zie Standaard 610 paragraaf 14a en 15.

iii. De VIC als interne beheersingsmaatregel, waarop de accountant kan steunen bij zijn organisatiegerichte werkzaamheden

De derde variant is de situatie waarin de accountant kan en wil steunen, op de interne

beheersingsmaatregelen van de decentrale overheid. De VIC omvat interne beheersingsmaatregelen, die de accountant kan toetsen in het kader van zijn organisatie- en procesgerichte werkzaamheden¹¹.

Het gaat er in de kern om of de VIC-werkzaamheden zijn gericht op het voorkomen of het detecteren en corrigeren van fouten in de jaarrekening¹². In het kader van de VIC worden in deze situatie interne controles uitgevoerd, waarbij de externe accountant zelfstandig de effectieve werking toetst.

Onderstaande tabel¹³ geeft een aantal factoren weer die de accountant in de praktijk kan ondersteunen om de effectieve opzet van de VIC te evalueren¹⁴ en daarover transparant te communiceren¹⁵:

Aspect Invulling

Wie? Dit aspect betreft de deskundigheid en objectiviteit van de VIC. Elementen die een rol spelen zijn de positie in de organisatie en de persoonlijke competenties:

• rechtstreekse rapportage aan directie en college.

• bevoegdheid om zonder nader overleg naar de auditcommissie te gaan indien hij dat noodzakelijk acht.

• afdelingsbudget beschikbaar voor onderhouden van kennis en vaardigheden.

• zichtbare aandacht voor training-on-the-job (bespreken casussen, interne mailwisselingen, werkoverleg, overnemen van elkaars werk).

• persoonlijke attitude van de VIC.

• relevante opleiding en werkervaring.

Wat? Dit betreft de wijze waarop de werkzaamheden van de VIC worden vormgegeven. Elementen die hierbij een rol spelen zijn:

• de planning is periodiek (per jaar) vastgelegd in een door de auditcommissie of rekeningcommissie of het College vastgesteld jaarplan. Dit houdt in dat duidelijk is welke processen gecontroleerd worden en wat (welke geldstromen) hieronder worden verstaan.

• de accountant wordt (na vaststelling van het jaarplan) geïnformeerd over het jaarplan. Optie is ook vooraf afstemming en gezamenlijke bespreking in de auditcommissieofrekeningcommissie.¹⁶

• de opzet van de controles kent een vast stramien, waarin o.a. evaluatie van het proces, een risico- inschatting, bepaling van de massa, bepaling van de deelwaarneming en specifieke aandachtspunten uit voorgaande jaren een plaats hebben.

• indien er een rapportage wordt opgesteld, wordt deze zichtbaar afgestemd met de betreffende afdeling / verantwoordelijke medewerker, bijvoorbeeld doordat de reactie wordt verwerkt in de rapportage.

Wanneer? Dit betreft de timing van de werkzaamheden van de VIC. Als de VIC een maandelijkse cyclus van het uitvoeren van werkzaamheden, inclusief het terugkoppelen van de resultaten en de follow-up van verbetervoorstellen bewaakt en monitort, levert dit vanzelfsprekend een betere interne

beheersingsmaatregel op dan wanneer de VIC eenmalig aan het eind van of na afloop van het jaar de werkzaamheden uitvoert. Dit betreft dus de frequentie waarmee de activiteiten worden uitgevoerd, alsmede het continue karakter daarvan.

11 Standaard 330, paragraaf 4b, 8 en verder.

12 Standaard 330, paragraaf 4.

13 Zie ook Standaard 610, paragraaf 15, A7, A8 en A11

14 Zie ook Standaard 610, paragraaf 36.

15 Zie ook standaard 610, paragraaf 20.

Aspect Invulling

Waarmee? Dit betreft de controlemiddelen die de VIC gebruikt, en omvat ook de reproduceerbaarheid van de werkzaamheden. De accountant moet achteraf kunnen zien hoe de VIC de werkzaamheden heeft bepaald, hoe de omvang van de werkzaamheden is vastgesteld, welke stukken daarbij zijn gebruikt, uit welke basisbestanden is geselecteerd, hoe de volledigheid van deze bestanden is vastgesteld, etc. Dit stelt de nodige eisen aan de documentatie door de VIC. De audit-trail moet duidelijk zijn.

Welk doel? De VIC moet duidelijk kunnen aantonen waarom bepaalde afwegingen zijn gemaakt, en hoe dit heeft meegewogen bij het vormgeven van zijn werkzaamheden, met andere woorden: waarom zijn juist deze werkzaamheden uitgevoerd? Waarom is de omvang en timing van de werkzaamheden zo vormgegeven?

Als de VIC en de vastleggingen van de werkzaamheden aan de eisen voldoen, kan de accountant gebruikmaken van deze werkzaamheden bij het toetsen van interne beheersingsmaatregelen. Zoals eerder opgemerkt kan dit onder andere van invloed zijn op de wijze waarop de accountant de risico’s inschat en de risicogebieden selecteert. Bij het uitvoeren van gegevensgerichte waarnemingen (de eigen waarnemingen van de accountant), steunt de accountant niet op de VIC. Het betreft hier dus uitsluitend de organisatie- en procesgerichte waarnemingen.

iv. De VIC als interne auditfunctie

In deze situatie concludeert de accountant op basis van zijn werkzaamheden, dat de VIC voldoet aan de eisen die Standaard 610 bevat voor de interne auditfunctie (IAF: zie de paragraaf over de drie

verdedigingslinies). Dit veronderstelt het volgende:

• dat de organisatorische positie en relevante beleidslijnen alsmede procedures van de interne auditfunctie, op adequate wijze de objectiviteit van de interne auditors ondersteunen;

• het competentieniveau van de interne auditfunctie gewaarborgd is;

• dat binnen de interne auditfunctie een systematische en gedisciplineerde benadering gehanteerd wordt, inclusief de kwaliteitsbeheersing.

Hierbij kan afhankelijk van de ambitie en kwaliteit van de bedrijfsvoering, nog wel sprake zijn van een ontwikkelingstraject om een IAF zoals bedoeld in Standaard 610 te bereiken (zie ook de bovenstaande tabel).

Als aan deze eisen wordt voldaan zal de externe accountant bepalen of van de werkzaamheden van de interne auditfunctie gebruik kan worden gemaakt, en zo ja voor welke processen en in welke mate. Ook kan in bepaalde situaties de externe accountant aanvullende maatregelen treffen, bijvoorbeeld door de selecties te bepalen. Het gebruik van de IAF-werkzaamheden leidt tot aanpassing van de aard of timing van de controlewerkzaamheden, ook afhankelijk van de aard en het risicoprofiel van hetgeen

gecontroleerd wordt. Het kan ook leiden tot een vermindering van de omvang van de

controlewerkzaamheden die door de externe accountant worden uitgevoerd, aangezien bijvoorbeeld een deel van testwerkzaamheden ten aanzien van de werking van de key controls door de VIC hebben plaatsgevonden. Het kan echter niet zo zijn dat de externe accountant een deel van de expliciet door

hem zelf uit te voeren gegevensgerichte werkzaamheden, door de IAF laat uitvoeren (dit zou immers vallen onder direct assistance).¹⁷

De decentrale overheid zal haar ambitie dienen te bepalen in het ontwikkelingsproces van VIC naar IAF.

Het instituut van Internal Auditors in Nederland (IIA) heeft een praktijkgids uitgebracht die ingaat op de kleine IAF. Een kleine interne auditfunctie zal een of meer van de volgende karakteristieken kennen:

o een team van één tot vijf auditors;

o minder dan 7.500 directe interne audituren per jaar;

o beperkte outsourcing.

Voor veel decentrale overheden zal er sprake zijn van een kleine interne auditfunctie. In de brochure van de IIA wordt opgemerkt dat de externe accountant om de volgende redenen (soms maar beperkt) kan steunen op de IAF:

o beperkte objectiviteit van de IAF door de organisatorische positie;

o onvoldoende ervaring of kwalificaties binnen de IAF;

o beperkte reikwijdte van de IAF, die niet de gehele scope van de externe controle dekt of vooral gericht is op operational audit.

Problemen rond de objectiviteit kunnen onder andere ontstaan als gevolg van de organisatorische positie van de functie, de onbekendheid van de organisatie met de functie, nauwe contacten met het management, een zwakke governance en het uitvoeren van andere taken naast de auditactiviteit. Als de tekortkomingen dermate ernstig zijn, kan de conclusie natuurlijk ook zijn dat er feitelijk geen sprake is van een ‘echte’ IAF, zoals bedoeld in Standaard 610.

Zoals al eerder vermeld is, geldt als een van de leidende principes bij Standaard 610 dat de

onafhankelijkheid van de externe accountant ten opzichte van de gecontroleerde organisatie, voorop moet staan. De eisen die Standaard 610 stelt aan de externe accountant bij de beoordeling van de objectiviteit en competentie van de IAF, betekent in feite dat de VIC moet voldoen aan het kwaliteitsniveau dat ook voor de controlerend accountants zelf geldt. De lat ligt dus (zeer) hoog.

Praktisch gesproken dienen dan op basis van de ambitie van de decentrale overheid keuzes gemaakt te worden met betrekking tot de omvang van de personele bezetting, kwalificatie eindverantwoordelijke persoon (bijvoorbeeld een RA/AA als interne auditor) en het kostenaspect. Dit moet afgewogen worden tegen de baten, in de vorm van een betere beheersing van de bedrijfsprocessen en de risico’s.

De NBA heeft ‘Nadere Voorschriften Kwaliteitssystemen (NVKS)’ opgesteld, die belangrijk zijn voor de kwaliteitsbeheersing¹⁸ en kwaliteitstoetsing door NBA/IIA¹⁹. Een kwaliteitssysteem helpt een accountant

17 Zie o.a. Standaard 610.18/21

18 Zie ook Standaard 610, paragraaf 15 en A11.

om de werkzaamheden te beheersen en om aan te tonen dat deze werkzaamheden op een kwalitatief goede manier worden uitgevoerd. De voorschriften geven de mogelijkheid om rekening te houden met de aard en omvang van een accountantseenheid bij de inrichting van het kwaliteitssysteem.

Als voorbeeld zijn in het onderstaande kader de ervaringen weergegeven van de gemeente Leiden, in de samenwerking met de externe accountant, hierbij worden ook enkele aandachtspunten en lessen meegegeven.

Voorbeeld: Interne audit & externe accountant: samenwerken vanuit autonomie in Leiden

Bij de gemeente Leiden wordt van een IAF gesproken. Tot voor drie jaar geleden maakte de externe accountant in de beleving van Leiden, in ruimere mate gebruik van de werkzaamheden van de gemeente. Dit heeft geresulteerd in een andere wijze van samenwerken, waarbij de externe accountant in ruimere mate zelfstandig controlewerkzaamheden is gaan plannen en uitvoeren.

Daarbij maakt de externe accountant nog steeds gebruik van de werkzaamheden van de gemeente, maar eerder als ‘interne beheersingsmaatregel’. Bijvoorbeeld in het kader van de inschatting waar de risico’s zich wel en niet voor doen en waar de controle zich op moet richten.

De externe accountant is in de eerste plaats een belangrijke sparringpartner voor de interne auditfunctie. Krachten bundelen, kennis uitwisselen, audit-aanpakken uitwisselen en op elkaar afstemmen betekent een betere interne auditfunctie voor Leiden.

Daarnaast heeft de gemeentelijke organisatie ook baat bij een zo efficiënt mogelijke (interne en externe) audit. De intentie hierbij is om dubbele audits op eenzelfde proces of thema, zoveel als mogelijk te voorkomen. Hierbij ziet Leiden de volgende

overeenkomsten tussen de interne en externe audits:

• het geven van een objectief oordeel over de kwaliteit van processen, systemen, (delen van) planning- & control cyclus;

• de organisatie c.q. het (top)management een spiegel voorhouden;

• de kwaliteit moet altijd voorop staan.

Er zijn ook verschillen:

• de externe accountant richt zich op het afgeven van een onafhankelijk oordeel bij de jaarstukken van de gemeente, waarop derden kunnen en mogen vertrouwen. Dit vloeit voort uit de wettelijk verankerde controleopdracht.

• de interne auditfunctie is vooral gericht op het verbeteren van de bedrijfsvoering, waaronder het ‘challengen’ van het risicomanagementproces. Het behalen van de doelstellingen van de organisatie staat centraal. Leiden kent het zogeheten

‘Leiden in control’- traject, met als doelstelling een lerende organisatie. De interne auditfunctie ziet vanuit de 3^e lijn toe op de voortgang van dit traject. Hierover wordt gerapporteerd in een interne managementletter (in het najaar) en een intern verslag van bevindingen (in het voorjaar, na afloop van het kalenderjaar). De interne auditfunctie verzorgt de noodzakelijke onafhankelijke toetsing van de door de organisatie op te stellen ‘In control statement’.

Er is in Leiden een duidelijk doel voor de IAF geformuleerd. En dat doel is leidend voor de werkzaamheden die worden verricht door de IAF. Niet of en hoe de externe accountant erop steunt. Wel is de intentie om vanuit de IAF wel zoveel mogelijk samen te werken met de externe accountant. Onder andere door:

Samenwerken bij opstellen intern auditplan:

Hieruit volgen ook enkele aandachtspunten en lessen:

• de gemeente moet vooral een eigen koers bepalen, maar deze wel afstemmen met de externe accountant.

• wees duidelijk over wat de IAF wel en niet doet. De externe accountant kan dit vervolgens meewegen bij de wijze van uitvoering van de jaarrekeningcontrole. Verschillen van inzicht moeten expliciet worden gemaakt en open worden besproken.

• stem (waar mogelijk) de controleaanpak vroegtijdig af met de externe accountant.

Samenwerken bij uitvoering interne audits:

• bij een selectie van onderwerpen door de externe accountant, kan vanuit de IAF worden aangeboden om mee te denken. Dit kan tevens ‘dubbel werk’ voorkomen.

• bij vaktechnische discussies wordt in Leiden gewerkt met een zogeheten ‘Positon Paper’. Dit is behulpzaam bij het expliciet maken van de wederzijdse standpunten en het bespreken van vaktechnische verschillen van inzicht.

• Leiden toetst zelf de IT-general controls, maar huurt daarvoor wel expertise in bij de externe accountant.

• belangrijke controlevragen van de externe accountant over jaarrekeningposten kunnen (deels) van een antwoord worden voorzien door middel van de interne audit.

• de IAF vervult in Leiden ook een schakelfunctie tussen de gemeentelijke organisatie en de externe accountant. Dit kan discussies over onder meer ‘controle op controle’ voorkomen. Zie voor deze problematiek ook de volgende Link.

Samenwerken bij rapportering n.a.v. interne audits:

• indien de gemeente zelf rapporteert in een interne managementletter, kan de externe accountant zich beperken tot

‘bestuurlijk relevante zaken’.

o de rapportages over de interne audits worden afgestemd met de externe accountant.

o doordat de externe accountant ook terug kan grijpen op de bevindingen van de IAF, winnen de constateringen en aanbevelingen van de IAF ook aan kracht en relevantie binnen de eigen organisatie.

o de medewerkers van de IAF zijn ook aanwezig op het moment dat de bevindingen van de externe accountant, worden besproken met de directie, het college en raadscommissie.

5 Keuzes voor de inrichting van de VIC

Het voorgaande impliceert dat de decentrale overheid tal van keuzes kan maken rond de inrichting van de VIC.

Voor wie richt ik de VIC in? In de inleiding is reeds opgemerkt dat de wensen en behoeften van de eigen organisatie voorop moeten staan. Hier kan ook een afruil plaatsvinden tussen uiteenlopende wensen.

Stel dat een gemeente optimaal gebruik wil maken van de medewerkers die belast zijn met de interne controle, in de zin dat ze breed ingezet moeten kunnen worden. Deze medewerkers verzorgen niet alleen de interne controle, maar dienen ook het management te adviseren over verbetermaatregelen.

Tevens zijn deze medewerkers (deels) belast met de implementatie van de verbetermaatregelen.

Daarnaast wil de gemeente echter dat de controlerend accountant in ruime mate steunt op de bevindingen. Deze uitgangspunten zullen echter botsen, omdat de brede inzet van de Interne Control- medewerkers op gespannen voet staat met objectiviteit en het risico op zelftoetsing. Ten minste als de accountant daar in ruime mate op moet kunnen steunen. In dit geval zal de gemeente moeten kiezen voor de variant, die voor de organisatie zelf de grootste toegevoegde waarde heeft. Hieronder is een passage opgenomen uit het Intern Controleplan 2017 van de gemeente Apeldoorn.

Voorbeeld gemeente Apeldoorn

Wij kunnen niet volledig aan COS610 voldoen, net als bijna alle andere gemeenten. Onze gemeente kiest voor het zogenoemde flexibele ‘monitoring control’. Voor het criterium van volledige onafhankelijkheid betekent dit, dat wij dit niet volledig volgen. Onze gemeente zet namelijk de kennis en expertise van onze interne controle medewerkers bewust ook in bij de (her)inrichting van processen, waarbij zij bijvoorbeeld adviseren over aspecten van rechtmatigheid. De rol van interne controle functionaris beperkt zich tot een adviserende; de besluitvorming ligt bij het verantwoordelijk management.²⁰

Welk ambitieniveau? Een decentrale overheid kan voor een VIC gaan die vooral een positief effect heeft op de aanlevering van de stukken aan de accountant of aan de andere kant van het spectrum, voor een IAF. In de praktijk komen er ook allerhande mengvormen voor, die ook onderzocht kunnen worden door een decentrale overheid. De vorm waarvoor een decentrale overheid kiest, zal het resultaat zijn van een kosten- batenafweging. Hierbij is de meest intensieve en geavanceerde vorm niet noodzakelijkerwijze ook de beste vorm. De VIC moet vooral passen bij de eisen en schaal van de organisatie. Ook moet er niet vanuit worden gegaan dat een investering in de VIC, een evenredige besparing op zal leveren in de kosten van de controle door de accountant. De intern uitgevoerde controlewerkzaamheden kunnen immers geen volledige vervanging zijn, van de eigen waarnemingen door de accountant. Daar staan echter ook andersoortige baten tegenover, in de vorm van een betere beheersing van bedrijfsprocessen en risico’s.

20Link naar het Intern Controleplan van de gemeente Apeldoorn

Het voordeel van het gebruik dat van de VIC gemaakt kan worden bij de controle van de jaarrekening, is vooral een positief neveneffect. Het is wel raadzaam om vroegtijdig contact te hebben met de

controlerend accountant, om de inrichting van de VIC en het interne controleplan te bespreken. Dit kan teleurstellingen voorkomen, zoals verwachtingen omtrent het kunnen steunen op de VIC. Ook kan de controlerend accountant tips geven, hoe met aanpassingen in ruimere mate gebruik gemaakt kan worden van de opbrengsten van de VIC.

Doorontwikkeling

Afhankelijk van de hierboven geformuleerde ambities, kunnen decentrale overheden ook keuzes maken over de verdere doorontwikkeling van de VIC. Hieronder is allereerst een voorbeeld opgenomen van de gemeente Groningen, over de doorontwikkeling van de VIC²¹.

Voorbeeld: Doorontwikkeling gemeente Groningen

De gemeente wil de interne auditfunctie (IAF) verder ontwikkelen. Zoals onze huisaccountant het verwoordt: “Andere tijden vragen om andere antwoorden”. De huidige focus was gericht op het jaarlijks uitvoeren van rechtmatigheidscontroles, deelwaarnemingen en verbijzonderde interne controles voor met name de accountant. We gaan toewerken naar de situatie waarbij de verbijzonderde interne controle in eerste instantie is gericht op het onderkennen en toetsen van de risico’s en beheersingsmaatregelen in de processen. Het jaarlijks toetsen van de werking van deze beheersingsmaatregelen geeft aan de organisatie inzicht en zekerheid dat de procesrisico’s zijn afgedekt. Voorwaarde is dat er in de lijn beheersingsmaatregelen zijn getroffen en dat deze effectief zijn. Indien dit niet het geval is, moet de afdeling Auditing aanvullend gegevensgerichte werkzaamheden verrichten.

De afdeling Auditing is een doorontwikkeltraject gestart. Dit traject bestaat uit een aantal activiteiten:

1. We verwoorden voor onszelf en richting onze huisaccountant wat ons ambitieniveau is voor de afdeling Auditing.

Welke positie nemen we in tussen de uitersten “VIC als beheersmaatregel” en “interne accountantsdienst”. Het Auditcommitee is toegezegd dat deze afweging aan hen wordt voorgelegd. Dit ook in verband met de toekomstige positionering van de afdeling.

2. Tot op heden rapporteert Auditing aan de concerncontroller. We denken na over deze structuur in relatie tot de objectiviteit van de afdeling Auditing. We onderzoeken hoe deze rapportagestructuur aangepast kan worden om beter aan te sluiten bij de eisen die COS610 stelt inzake objectiviteit en onafhankelijkheid.

3. De afdeling Auditing heeft ook een visie en sparringpartnerrol voor de invulling van de Governance, Risk en Compliance binnen de gemeente Groningen, net als de afdeling concern control. We denken na over hoe deze 2 afdelingen gezamenlijk (in afstemming met elkaar) deze rol in de toekomst gaat vervullen;

4. We leggen in de controle nadruk op processen met een significatie omvang en politiek gevoelige processen.

Verder nemen we in onze werkzaamheden ook de verbijzonderde interne controle op de financiële verantwoordingsdocumenten en de grondexploitaties mee;

5. We stellen samen met concern control een gemeentebrede risicoanalyse op, daarnaast wordt voor de significante processen een risicoanalyse opgesteld. Voor ieder risico beoordelen we de beheersingsmaatregelen;

6. We toetsen de beheersingsmaatregelen op opzet, bestaan en werking. Hierover rapporteren we aan de lijn. Onze bevindingen zijn input voor het inrichten van eventueel ontbrekende 1e en 2e lijnscontroles. We stemmen onze werkwijze ook actief af met de accountant. Op basis van de uitkomsten beoordelen we of we aanvullende gegevensgerichte werkzaamheden moeten uitvoeren om voldoende controle-evidence te verkrijgen;

7. We besteden bij onze controles expliciete aandacht aan IT-afhankelijkheden en ontwikkelingen;

8. We investeren in de kwaliteit van de vastleggingen, zodat de audit-trail zichtbaar is;

9. Voor de afdeling ontwikkelen we een kennis- en opleidingsplan.

Inmiddels is met het Auditcommitee afgestemd dat het team Auditing, op grond van bedrijfseconomische afwegingen, zal worden ingericht conform COS 610 variant 2a. Dit betekent dat Auditing bezien wordt als interne beheersmaatregel²², waarbij de professionele uitvoering centraal staat.

21Link naar het Controleplan van de gemeente Groningen 2017

Naast de doorontwikkeling die een decentrale overheid zelf wil doormaken, zijn er ook twee meer generieke ontwikkelingen die van invloed zijn op de toekomst van de VIC:

• de introductie van de rechtmatigheidsverantwoording;

• het streven naar een In Control Statement.

In de onderstaande paragraaf zal nader worden ingegaan op deze ontwikkelingen.

Rechtmatigheidsverantwoording

Het idee van de rechtmatigheidsverantwoording door het College is uitgewerkt in een rapport van een werkgroep, onder voorzitterschap van Depla, "Vernieuwing accountantscontrole gemeenten”. Deze werkgroep stelde onder meer dat:

o het college verantwoordelijk is voor de rechtmatigheid. Bij de jaarrekening dient daarom een verklaring van het college te worden gegeven, waarin het college aangeeft rechtmatig te hebben gehandeld met betrekking tot de financiële Rijks en Europese wetgeving. Ook is in de verklaring opgenomen dat de toelichting op de verschillen tussen de begroting en jaarrekening accuraat is.

o de accountantscontrole kan worden beperkt tot de getrouw beeld verklaring bij de jaarrekening en bij de verklaring van het college.

o de raad kan aangeven of het college ook een verklaring geeft over de rechtmatigheid van de uitvoering van (een bepaald deel van) de eigen verordeningen en regelgeving.

De accountant neemt dit onderdeel dan mee in zijn controle.

Daarbij benadrukt de Adviescommissie dat begrotingsrechtmatigheid op deze wijze niet meer doorweegt in de rechtmatigheidsverklaring van het college. Het college geeft namelijk een toelichting op de verschillen tussen begroting en realisatie en een verklaring over de toelichting. De accountant betrekt deze verklaring bij het oordeel over het getrouwe beeld. Indien de raad bezwaren heeft bij de toelichting van het college volgt een politieke discussie. Een begrotingswijziging aan het einde van het jaar is daarom niet meer noodzakelijk. Indien nodig past BZK de Gemeentewet hierop aan.

In maart 2016 heeft de toenmalige minister van BZK aan de Kamer aangegeven, in te stemmen met dit streven²³.

‘De bovengenoemde stuurgroep heeft ingestemd met het opnemen in de wet van een verplichte rechtmatigheidsverantwoording door de colleges van gedeputeerde staten respectievelijk van

burgemeester en wethouders over de jaarrekening. Dit vergt uitwerking in concrete wijzigingsvoorstellen van de Gemeentewet en de Provinciewet en van de onderliggende besluiten, te weten het Besluit begroting en verantwoording gemeenten en provincies (Bbv) en het Besluit accountantscontrole decentrale overheden (Bado). Een expliciete rechtmatigheidsverantwoording onderstreept de politieke aanspreekbaarheid van de genoemde colleges en heeft naar verwachting een kwaliteitsverhogend effect op de financiële bedrijfsvoering bij gemeenten en provincies. De voorgestelde methodiek sluit bovendien

23 Tweede Kamer, vergaderjaar 2015–2016, 34 300 VII, nr. 64

aan bij de werkwijze zoals die bij de rijksoverheid reeds gangbaar is, waar de Minister in de zogenaamde bedrijfsvoeringparagraaf ook een verantwoording aflegt over de rechtmatigheid.’

Naast het Governance- verantwoordingsaspect wordt ook het kwaliteitsverhogend effect op de (financiële) bedrijfsvoering bij gemeenten en provincies, expliciet genoemd. In de Meicirculaire 2018 werd aangegeven dat het ministerie van BZK met gemeenten, provincies en accountants gesprekken gevoerd had. De uitkomst van deze gesprekken had de wenselijkheid bevestigd, van de invoering van een rechtmatigheidsverantwoording door het College in de jaarrekening.

De verwachting werd uitgesproken dat deze verplichting met ingang van het verslagjaar 2021 zal kunnen gelden. Het Ministerie van BZK zal de commissie BBV, het IPO, de VNG en de NBA betrekken bij het nader uitwerken van deze verplichting (bijvoorbeeld het model, de scope, criteria), waarbij ook de administratieve lasten in ogenschouw worden genomen.

In het kader van het wetgevingsproces, de uitwerking door de commissie BBV en het overleg met de decentrale overheden moeten nog keuzes gemaakt worden. Daarom kunnen niet alle gevolgen voor de inrichting van de VIC nu al voorzien worden. In de onderstaande paragrafen worden slechts enkele mogelijke gevolgen voor de VIC geduid. Op een later moment zal zowel vanuit het ministerie van BZK, de commissie BADO als de commissie BBV nader worden gecommuniceerd over vorm en inhoud van de rechtmatigheidsverantwoording.

Normenkader

Het normenkader bevat alle relevante regelgeving, waaraan getoetst moet worden en waarover straks gerapporteerd wordt in de rechtmatigheidsverantwoording. Het College stelt het normenkader op en stuurt dit ter kennisgeving aan de Raad/PS. De commissie BBV heeft voorschriften gegeven voor de opstelling van het normenkader in de Kadernota rechtmatigheid. Een decentrale overheid zal dus in ieder geval een helder beeld moeten hebben, welke regelingen onderdeel uitmaken van het normenkader. Dat geldt voor nu en de toekomst.

Operationalisering

Om het normenkader te kunnen gebruiken voor de interne beheersing, dient het normenkader te worden geoperationaliseerd. Het operationaliseren van het normenkader kan bijvoorbeeld worden vastgelegd in een toetsingskader. De operationalisering van het normenkader kan ook op andere manieren plaatsvinden, bijvoorbeeld in een intern controleplan of uitgewerkte checklists. Van belang is dat per regeling wordt aangegeven, welke artikelen relevant zijn en hoe de daarmee verband houdende beheershandelingen eruitzien. Het gaat dan ook om wie welke rol heeft in de drie genoemde

verdedigingslinies, bij de bewaking van de naleving van de relevante regels die onderdeel uitmaken van het normenkader.

Rol van de externe accountant

De accountant zal in zijn controleverklaring een oordeel geven over de getrouwheid van de

rechtmatigheidsverantwoording, zoals die door het College opgenomen is in de jaarrekening. De Raad en PS moeten immers erop kunnen vertrouwen dat hetgeen het College opneemt in de

verantwoordelijkheden beter bij de gebruikelijke wijze waarop de accountant zijn werkzaamheden uitvoert. Het College legt verantwoording af en de accountant controleert de verantwoording, zodat leden van gemeenteraden en provinciale staten maar ook burgers daarop kunnen en mogen vertrouwen.

VIC en ICS

De rechtmatigheidsverantwoording moet onderscheiden worden van een In Control Statement (ICS). Bij de rechtmatigheidsverantwoording staat de vraag voorop of de decentrale overheid in

overeenstemming heeft gehandeld met de relevante regelgeving en dus of de decentrale overheid in dit opzicht ook compliant was. De rechtmatigheidsverantwoording heeft daarmee een beperktere strekking dan de ICS.

Een ICS is namelijk:

‘Een verklaring van het bestuur over de kwaliteit van de bedrijfsvoering, zoals de interne organisatie en automatisering, waarmee inzicht wordt verkregen in de mate waarin verschillende bedrijfsprocessen op orde zijn.²⁴

Een ICS is breder dan de rechtmatigheidsverantwoording en kan ook elementen omvatten zoals²⁵:

• missie & visie;

• kernwaarden;

• systeem van risicomanagement;

• systeem van prestatiemeting;

• belangrijkste risicogebieden en beheersmaatregelen, ook voor zover deze niet betrekking hebben op de rechtmatigheid;

• etc.

Er is nadrukkelijk geen sprake is van het verplicht invoeren van een ICS conform de definitie van Klop en Van der Voort, maar het is natuurlijk alleen maar positief wanneer gemeenten, provincies en

waterschappen stilstaan bij hun eigen ambitieniveau. Het opnemen van een positief geformuleerde ICS is moeilijk voorstelbaar, zonder een VIC die aan hoge eisen voldoet. Het streven naar het opnemen van een ICS door decentrale overheden, kan dus ook een belangrijke impuls betekenen voor de

doorontwikkeling van de VIC.

24Klop, P., & Van der Voort, B., Corporatie Governance, 2009.

25 Prinsen, M., Is Delfland in control? Onderzoek naar de criteria voor het format van een in control statement voor Delfland, scriptie, juni 2018.